Microsoftは2026年6月のパッチチューズデー更新プログラムで、同社製品に発見された約200件の脆弱性を修正しました。
今月対処された脆弱性はいずれも実際の攻撃への悪用は確認されていませんが、そのうち3件についてはMicrosoftがパッチを公開する前に情報が一般に開示されていました。
そのうちの1つがCVE-2026-49160で、Windowsに影響するサービス拒否(DoS)の脆弱性として報告されています。この脆弱性はHTTP2/Bombという攻撃手法に関連しており、数十万のウェブサイトに影響を及ぼす可能性があり、Webサーバーをわずか数秒でオフラインにできます。
もう1件の開示済み脆弱性はCVE-2026-50507で、Windows BitLockerのセキュリティ機能をバイパスするものです。対象システムに物理的にアクセスできる攻撃者が、暗号化されたデータにアクセスできるようになります。
この脆弱性はYellowKeyと関連している可能性があります。YellowKeyは、オンラインでChaotic EclipseおよびNightmare Eclipseとして知られる研究者がMicrosoftとの対立を機にPoC(概念実証)コードを公開し始めた、複数のエクスプロイトのうちの1つです。この研究者が公開したエクスプロイトのいくつかは、実際の攻撃に悪用されています。
今月Microsoftがパッチを適用した3件目の開示済み脆弱性はCVE-2026-45586で、Windows Collaborative Translation Frameworkのバグです。悪用されると権限をSystem(システム)レベルまで昇格させることが可能です。この脆弱性は匿名の研究者によってベンダーに報告されました。
上記3件の開示済み脆弱性はいずれも、Microsoftから「悪用される可能性が高い」という悪用可能性評価が付与されています。
今月修正された約200件のセキュリティ上の欠陥のうち、およそ40件が「重大(Critical)」の深刻度評価を受けています。これらはWindows、Azure、Office、Outlook、Exchange、AIツールに影響し、悪用されるとリモートコード実行、権限昇格、情報漏洩につながる可能性があります。
Microsoftは自社製品固有の脆弱性に加え、同社ソフトウェアが使用するサードパーティ製コンポーネントに影響する360件の問題についてもアドバイザリを公開しました。
Adobeの最新のパッチチューズデー更新プログラムでは、120件以上の脆弱性が修正されています。
翻訳元: https://www.securityweek.com/microsoft-patches-200-vulnerabilities/
